Android Malware

แอปพลิเคชั่นพยากรณ์อากาศอันตรายบน Google Play

แอปพลิเคชั่นพยากรณ์อากาศปลอมแทรกซึมเข้า Google Play

ผู้ใช้แอนดรอยด์กำลังตกเป็นเหยื่อของมัลแวร์ขโมยข้อมูลที่สามารถจับภาพหน้าจอ โดยปลอมตัวเป็นแอปพลิเคชั่นพยากรณ์อากาศ

โปรแกรมของ ESET สามารถตรวจจับมัลแวร์ตัวนี้ได้ในขื่อ Trojan.Android/Spy.Banker.HU โทรจันที่มีความสามารถในการพยากรณ์อากาศในชื่อ Good Weather

แอปพลิเคชั่นอันตรายนี้สามารถผ่านด่านตรวจสอบแอปพลิเคชั่นของ Google มาได้ และเริ่มให้ดาวน์โหลดเมื่อวันที่ 4 กุมภาพันธ์ที่ผ่านมา แต่หลังจากที่ ESET รายงานกับทาง Google ถึงความไม่ปลอดภัยของแอปพลิเคชั่น ทางทีมงาน Google ก็นำแอปพลิเคชั่นนี้ออกภายในเวลา 2 วันหลังจากที่แจ้งไป แต่ข่าวร้ายก็คือมีผู้ใช้ดาวน์โหลดแอปพลิเคชั่นนี้ไปแล้วถึง 5,000 คน

นอกจากความสามารถในการพยากรณ์อากาศของแอปพลิเคชั่น (ที่เลียนแบบมา) โทรจันตัวนี้ยังสามารถล็อคหรือปลดล็อคอุปกรณ์ และอ่านข้อความที่ส่งไปมาได้ หนำซ้ำยังมีเป้าหมายเป็นผู้ใช้แอปพลิเคชั่นทำธุรกรรมของตุรกี ซึ่งผู้ใช้ก็ต่างโดนขโมยข้อมูลขณะล็อคอิน

good-weatherdescripcion-good-weather

screen-shot-2017-02-22-at-10-19-55

แอปพลิเคชั่นปลอมทำงานอย่างไร?

หลังจากติดตั้งแอปฯลงบนเครื่อง ไอคอนของแอปฯจะหายไป ต่ออุปกรณ์ก็จะขึ้นแจ้งเตือนให้อัพเดตระบบ ซึ่งแน่นอนว่าไม่ใช่ของจริง ถ้าหากผู้ใข้กดอัพเดตจริงๆ เท่ากับให้อนุญาตมัลแวร์ในการเปิด-ปิดหน้าจอ

3-app-legitima-y-falsa

4-actualizacion-falsa-576x1024

หลังจากขั้นตอนนี้มัลแวร์ก็พร้อมที่จะทำกิจกรรมอื่นๆต่อแล้ว ซึ่งหลังจากขั้นตอนนี้ผู้ใช้จะสามารถใช้งาน Widget ของ New Weather ได้แล้ว(เหมือนปกติ) แต่กิจกรรมเบื้องหลังของมัลแวร์ก็จะทำงานต่อไป

แอปพลิเคชั่นนี้สามารถส่งข้อมูลของอุปกรณ์ให้กับแฮกเกอร์ได้ ผ่านเซิร์ฟเวอร์ C&C ขึ้นอยู่กับความต้องการผู้ควบคุม อย่างการอ่านข้อความ, เปิด-ปิดหน้าจอของอุปกรณ์หรือเปลี่ยนรหัสผ่าน และขโมยข้อมูลบัญชีธนาคาร

โทรจันจะแสดงหน้าจอเข้าสู่ระบบของธนาคารปลอมขึ้นมา เพื่อให้ผู้ใช้ส่งข้อมูลทั้งชื่อผู้ใช้ และรหัสผ่าน แม้ว่าจะเปิดการใช้ two-factor authentication แฮกเกอร์ก็สามารถอ่านข้อความได้

ในขณะที่แฮกเกอร์กำลังโอนเงินออกจากบัญชีขอเหยื่อ หน้าจอของอุปกรณ์จพถูกบังด้วยรูปภาพที่แฮกเกอร์เตรียมไว้

โทรศัพท์ของคุณโดยไวรัสชนิดนี้หรือเปล่า?

ถ้าหากคุณเพิ่งดาวน์โหลดแอปพลิเคชั่น Good Weather มาจาก Play Store ลองตรวจสอบว่ามีไอคอนสีเหลืองอยู่ในหน้าจอ Apps ของคุณหรือไม่ ถ้ามีแสดงว่าแอปฯนั้นเป็นของแท้ และลองตรวจสอบว่าใน Application Manager ของคุณมีไอเคนสีฟ้าหรือเปล่า ถ้ามีให้รีบถอนการติดตั้งโดยทันที

สำหรับวิธีการทำความสะอาดไวรัสบนเครื่อง เราขอแนะนำให้คุณใช้โปรแกรมรักษาความปลอดภัยบนแพลตฟอร์มแอนดรอยด์อย่าง ESET Mobile Security หรือแอปฯอื่นๆ

วิธีถอนการติดตั้งแบบ Manual ก็คือไปที่หัวข้อ Settings -> Security -> System Update แล้วเอาเครื่องหมายติ๊กถูกออก เท่านี้คุณก็จะสามารถนำแอปฯ Good Weather ปลอมออกได้แล้ว

5-actualizacion

6-administrador-de-aplicacione

ทำอย่างไรให้ปลอดภัย?

ก่อนอื่นต้องบอกว่าแอปฯนี้ถูกถอนออกจาก Play Store เป็นที่เรียบร้อยแล้ว แต่ในอนาคตก็อาจจะมีแอปฯปลอมรูปแบบคล้ายๆกันนี้ที่อาจผ่านระบบตรวจสอบของทาง Google และเข้ามาอยู่ Play Store ได้อีก เพราะฉะนั้นสิ่งที่คุณต้องทำตอนดาวน์โหลดแอปฯใหม่ก็คือ

อ่านข้อมูลให้ละเอียด อย่างรายละเอียดของแอปฯ และอ่านหัวการอนุญาตของแอปฯนี้ด้วย เพราะส่วนนี้จะเป็นส่วนที่บอกว่าแอปฯจะปรับแต่งอะไรกับอุปกรณ์ของคุณบ้าง และสิ่งที่แอปฯขอนั้นจำเป็นต่อการใช้งานอย่างสมเหตุสมผลหรือไม่

อีกหนึ่งอย่างคือ คุณต้องอ่านรีวิวด้วยเพราะข้อมูลในส่วนนี้จะมาจากผู้ใช้ที่ดาวน์โหลดแอปฯ จริงๆ ซึ่งเกณฑ์คะแนนที่แอปฯพลิเคชั่นนั้นๆมีก็อาจบอกนัยๆได้ว่าแอปฯนั้นเป็นของจริงหรือของปลอม

แอปพลิเคชั่นที่ได้รับผลกระทบจาก Good Weather

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank_direkt
com.akbank.softotp
com.akbank.android.apps.akbank_direkt_tablet
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank

Author: Lukas Stefanko
Source: http://www.welivesecurity.com/2017/02/22/sunny-chance-stolen-credentials-malicious-weather-app-found-google-play/
Translated by: Worapon H.

%d bloggers like this: